K0NSULT // ai-truth/ipIII
k0nsult.cloud / ai-truth / ipIII / orchestrator / senior-arena

Senior Arena — testuj integralność warstwy dowodowej

Ścieżka dla doświadczonych. Arena nie zaprasza do testowania cudzych systemów — daje wyprofilowane wyzwania na naszej własnej warstwie evidence ipIII: czy da się podmienić pakiet dowodowy bez wykrycia, czy role widzą swoje incydenty, czy parsery importu wytrzymują złośliwe wejście, czy audit log jest odporny na modyfikację. Wszystko na środowisku syntetycznym, wyłącznie defensywnie, po podpisaniu Rules of Engagement.

Czym jest ta arena — i czym nie jest. To poligon do sprawdzenia, na ile solidna jest nasza warstwa dowodowa: integralność pakietów evidence, izolacja danych między rolami, odporność importu i niezmienność audit logu. Celem nie jest żaden zewnętrzny system i nie jest produkcja. Uczestnik pracuje na dedykowanym, syntetycznym środowisku ipIII w granicach pisemnych Rules of Engagement. Zgodnie z doktryną claim ≤ proof: dowodem jest wynik, który da się pokazać (log wykrycia, odrzucone zapytanie, niespójny hash), a nie opowieść.
STATUS: MVP interaktywne laby = ROADMAP
4 wyzwania odporności. Zero payloadów. Wyłącznie na własnym systemie.

Senior Arena to Fala 6 release-train ipIII. Dziś dostępny jest opis wyzwań i kryteriów sukcesu (MVP); uruchamialne, samoresetujące laby na środowisku syntetycznym są ROADMAP. Każde wyzwanie testuje jedną własność warstwy evidence i ma jasny dowód sukcesu — obserwowalny sygnał, że mechanizm zadziałał albo że znaleziono lukę do zgłoszenia.

ZASADA: własne środowisko syntetycznetylko defensywniepo RoE / NDAdowód = obserwowalny sygnałzgłoszenie luki, nie publikacja

Wyzwania

Każda karta opisuje co jest testowane i jaki jest dowód sukcesu — bez instrukcji ataku. Chodzi o sprawdzenie, czy zabezpieczenie warstwy evidence wykrywa lub blokuje próbę naruszenia.

Evidence tamper challenge ROADMAP lab

Co testuje: czy da się zmodyfikować pakiet dowodowy (evidence-package / board-pack) tak, by zmiana nie została wykryta przez sha256 integralności i łańcuch chain-of-custody.

Dowód sukcesu: pokazanie stanu, w którym treść pakietu różni się od zapisanego hasha lub łańcucha, a system tego nie sygnalizuje. Sukces obrony = każda podmiana daje niespójność hash/chain i jest oznaczona.

Status: mechanizm hash + chain-of-custody LIVE (weryfikacja: /verify); interaktywny lab ROADMAP.

RBAC / IDOR lab ROADMAP lab

Co testuje: izolację danych między rolami — czy użytkownik jednej roli/kontekstu może odczytać cudze incydenty lub pakiety dowodowe przez odwołanie do nie-swojego identyfikatora (klasa IDOR).

Dowód sukcesu: udokumentowany przypadek dostępu do rekordu spoza własnego zakresu roli. Sukces obrony = każde takie odwołanie kończy się odmową autoryzacji i wpisem w audit logu.

Status: JWT + RBAC + audit LIVE; wielodostępność i pełna izolacja per-tenant → patrz known-limitations (P1). Lab ROADMAP.

Parser abuse ROADMAP lab

Co testuje: odporność parserów importu (Burp / ZAP / Nessus / CSV) na złośliwie ukształtowane lub zniekształcone wejście — czy nietypowy plik prowadzi do błędu bezpiecznego, czy do niepożądanego zachowania.

Dowód sukcesu: wejście, które wyprowadza parser poza kontrolowaną obsługę błędu. Sukces obrony = złośliwe/uszkodzone wejście jest odrzucane z czytelnym błędem, bez wpływu na resztę danych.

Status: parsery importu LIVE (/connectors); fuzz-lab z korpusem wejść ROADMAP.

Audit log integrity ROADMAP lab

Co testuje: czy dziennik audytu jest append-only i czy wykrywa próbę modyfikacji lub usunięcia wcześniejszego wpisu — fundament wiarygodności całej warstwy evidence.

Dowód sukcesu: stan, w którym historyczny wpis został zmieniony bez wykrycia. Sukces obrony = każda ingerencja w log jest niemożliwa lub natychmiast wykrywalna jako niespójność.

Status: audit log LIVE; formalny łańcuch niezmienności (podpis/kotwiczenie) → patrz Trust Center. Lab ROADMAP.

Zakres i zasady

Wejście na arenę oznacza akceptację poniższego zakresu. Wyjście poza „co WOLNO" jest naruszeniem RoE.

AspektCo WOLNOCzego NIE WOLNO
Cel testu Wyłącznie własne, syntetyczne środowisko ipIII udostępnione na potrzeby areny. Jakiekolwiek cele zewnętrzne, produkcja, dane realnych klientów, infrastruktura osób trzecich.
Charakter Testowanie odporności warstwy evidence defensywnie — obserwacja, czy zabezpieczenie wykrywa/blokuje próbę. Payloady nakierowane na wyrządzenie szkody, eksploatacja poza zakresem, hack-back, techniki niszczące.
Dane Dane syntetyczne wygenerowane dla areny; zgłaszanie znalezionych luk kanałem RoE. Eksfiltracja danych, wynoszenie dowodów poza środowisko, publikacja szczegółów podatności/payloadów.
Dostępność Praca w oknie czasowym i limitach ustalonych w RoE; poszanowanie zasobów środowiska. Wolumetria/DoS, wyczerpywanie zasobów, działania degradujące dostępność środowiska lub sąsiadów.
Formalności Udział po podpisaniu Rules of Engagement i NDA; kontakt do koordynatora. Udział bez RoE/NDA; obchodzenie zakresu; działanie „na dziko" bez uzgodnienia.
Wymóg wstępny. RoE + NDA są warunkiem koniecznym. Bez podpisanego zakresu nie ma areny — nie z formalizmu, lecz dlatego, że dopiero pisemny zakres odróżnia dozwolony test odporności własnego systemu od czegoś, czego ipIII nie sankcjonuje. Zakres definiuje środowisko, okno czasowe, kanał zgłoszeń i granice.

Hall of Fame ROADMAP

Uznanie dla seniorów-recenzentów, którzy pomogli utwardzić warstwę evidence. Na start bez nagród finansowych.

Uznanie recenzenta

Imienne (lub pod pseudonimem) podziękowanie za zgłoszenie luki, która przeszła weryfikację i doprowadziła do utwardzenia mechanizmu.

ROADMAP — rejestr uruchamiany razem z interaktywnymi labami.

Ślad w changelogu

Odnotowanie wkładu w dzienniku zmian ipIII (/aktualizacje) przy poprawce wynikającej ze zgłoszenia.

ROADMAP — po uzgodnieniu zasad atrybucji w RoE.

Bez nagród finansowych (na start)

Arena startuje jako program uznaniowy, nie bug-bounty. Ewentualny model wynagrodzeń to osobna, późniejsza decyzja.

ROADMAP — nie deklarujemy nagród, których dziś nie ma.

Skrót areny

4
Wyzwania odporności
tamper · RBAC/IDOR · parser · audit log
MVP
Opis + kryteria sukcesu
dostępne dziś
ROADMAP
Interaktywne laby
samoresetujące, syntetyczne
RoE
Warunek wstępny
+ NDA, przed startem
Granica etyczna i prawna. Senior Arena działa wyłącznie defensywnie i wyłącznie po podpisaniu Rules of Engagement. Nie publikujemy payloadów ani szczegółów technicznych podatności. To nie jest zaproszenie do testowania produkcji ani jakiegokolwiek systemu poza udostępnionym środowiskiem syntetycznym. Obowiązuje doktryna claim ≤ proof: liczy się dowód, który da się pokazać, nie deklaracja. Wyjście poza uzgodniony zakres = natychmiastowe wykluczenie z areny. Szczegóły granic → Rules of Engagement.

Powiązane: weryfikacja integralności pakietów → /verify · granice dojrzałości MVP → /known-limitations · dowody i zaufanie → /trust-center · parsery importu → /connectors.